“EternalBlue” ir nosaukums noplūdušai NSA izstrādātajai SMBv1 ievainojamībai, kas bija visās Windows operētājsistēmās starp Windows 95 un Windows 10. Servera ziņojumu bloka versija 1 jeb SMBv1 ir sakaru protokols, kas tiek izmantots, lai tīklā koplietotu piekļuvi failiem, printeriem un seriālajiem portiem.
Padoms. NSA iepriekš tika identificēts kā “Equation Group” apdraudējuma dalībnieks, pirms šī un citas ļaunprātīgas darbības un darbības tika ar tām saistītas.
NSA identificēja ievainojamību SMB protokolā vismaz jau 2011. gadā. Saskaņā ar savu stratēģiju ievainojamību uzkrāšanai savām vajadzībām, viņš izvēlējās to neizpaust Microsoft, lai problēmu varētu novērst. Pēc tam NSA izstrādāja problēmas risinājumu, ko viņi nosauca par EternalBlue. EternalBlue spēj nodrošināt pilnīgu kontroli pār neaizsargātu datoru, jo tas nodrošina administratora līmeņa patvaļīgu koda izpildi, neprasot lietotāja mijiedarbību.
Ēnu brokeri
Kādā brīdī, pirms 2016. gada augusta, NSA uzlauza grupa, kas sevi dēvēja par “The Shadow Brokers”, kas, domājams, ir Krievijas valsts sponsorēta hakeru grupa. Ēnu brokeri ieguva piekļuvi lielam datu un uzlaušanas rīku klāstam. Sākotnēji viņi mēģināja tos izsolīt un pārdot par naudu, bet saņēma nelielu procentu.
Padoms. “Valsts sponsorēta hakeru grupa” ir viens vai vairāki hakeri, kas darbojas vai nu ar valdības nepārprotamu piekrišanu, atbalstu un norādījumiem, vai oficiālām valdības aizskarošām kibergrupām. Jebkurš variants norāda, ka grupas ir ļoti labi kvalificētas, mērķtiecīgas un apzinātas savā darbībā.
Sapratusi, ka viņu rīki ir apdraudēti, NSA informēja Microsoft par ievainojamību, lai varētu izstrādāt ielāpu. Sākotnēji bija paredzēts izlaist 2017. gada februārī, taču ielāps tika pārsūtīts uz martu, lai nodrošinātu, ka problēmas ir pareizi novērstas. 14th 2017. gada martā Microsoft publicēja atjauninājumus, un EternalBlue ievainojamību aprakstīja drošības biļetens MS17-010, operētājsistēmai Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 un Server 2016.
Mēnesi vēlāk, 14th aprīlī The Shadow Brokers publicēja ekspluatāciju kopā ar desmitiem citu varoņdarbu un detaļu. Diemžēl, neskatoties uz to, ka ielāpi bija pieejami mēnesi pirms izlietojuma publicēšanas, daudzas sistēmas neinstalēja ielāpus un palika neaizsargātas.
EternalBlue izmantošana
Mazāk nekā mēnesi pēc varoņdarbu publicēšanas, 12th 2017. gada maijā tika palaists tārps “Wannacry”, izmantojot izspiedējvīrusu EternalBlue, lai izplatītos pēc iespējas vairāk sistēmās. Nākamajā dienā Microsoft izlaida ārkārtas drošības ielāpus neatbalstītajām Windows versijām: XP, 8 un Server 2003.
Padoms: “Ransomware” ir ļaunprātīgas programmatūras klase, kas šifrē inficētās ierīces un pēc tam glabā atšifrēšanas atslēgu, lai izpirktu, parasti Bitcoin vai citām kriptovalūtām. “Tārps” ir ļaunprātīgas programmatūras klase, kas automātiski izplatās citos datoros, nevis pieprasa, lai datori būtu atsevišķi inficēti.
Saskaņā ar IBM X-Force izspiedējvīrusa tārps "Wannacry" bija atbildīgs par vairāk nekā 8 miljardu ASV dolāru nodarīto kaitējumu 150 valstīs, lai gan šī ļaunprātīgā izmantošana darbojās tikai operētājsistēmās Windows 7 un Server 2008. 2018. gada februārī drošības pētnieki veiksmīgi modificēja ekspluatāciju, lai tā varētu droši darboties visās Windows versijās kopš Windows 2000.
2019. gada maijā ASV Baltimoras pilsētu skāra kiberuzbrukums, izmantojot EternalBlue izmantošanu. Vairāki kiberdrošības eksperti norādīja, ka šī situācija ir pilnībā novēršama, jo ielāpi bija pieejami vairāk nekā divus gadus tajā brīdī, laika periodam, kurā vajadzēja būt vismaz “kritiskiem drošības ielāpiem” ar “publisku izmantošanu”. uzstādīta.